01信息安全工作总体规划.docx

01信息安全工作总体规划.docx

《01信息安全工作总体规划.docx》由会员分享，可在线阅读，更多相关《01信息安全工作总体规划.docx（59页珍藏版）》请在冰点文库上搜索。

01信息安全工作总体规划

XXX单位

信息安全工作整体目标

1

总则.............................................

错误!

不决义书签。

目标........................................

错误!

不决义书签。

合用范围....................................

错误!

不决义书签。

建设思路....................................

错误!

不决义书签。

建设原则....................................

错误!

不决义书签。

建设目标....................................

错误!

不决义书签。

2

系统框架.........................................

错误!

不决义书签。

安全模型....................................

错误!

不决义书签。

系统框架....................................

错误!

不决义书签。

3

建设内容.........................................

错误!

不决义书签。

组织机构....................................

错误!

不决义书签。

人员管理....................................

错误!

不决义书签。

物理管理....................................

错误!

不决义书签。

网络管理....................................

错误!

不决义书签。

系统管理....................................

错误!

不决义书签。

应用管理....................................

错误!

不决义书签。

数据管理....................................

错误!

不决义书签。

运维管理....................................

错误!

不决义书签。

4

整体安全策略.....................................

错误!

不决义书签。

物理安全策略................................

错误!

不决义书签。

网络安全策略................................

错误!

不决义书签。

主机安全策略................................

错误!

不决义书签。

应用安全策略................................

错误!

不决义书签。

数据安全策略................................

错误!

不决义书签。

病毒管理策略................................

错误!

不决义书签。

5

附则.............................................

错误!

不决义书签。

1总则

为增强和规范XXX单位信息系统安全工作，提高信息系统整体安全防备水

平，实现信息安全的可控、能控、在控，依照国家有关法律、法例的要求，拟订

本文档。

目标

本文档的目的是为XXX单位信息系统安全管理供给一个整体安全架构文件，

该文件将指导信息系统的安全管理系统的成立。

安全管理系统的成立是为信息系

统的安全管理工作供给参照，以实现一致的安全策略管理，提高整体的网络与信

息安全水平，保证安全控制举措落实到位，保障网络通讯通畅和业务系统的正常

营运。

合用范围

本文档合用于信息系统安全方案规划、安全建设实行和安全策略的拟订。

建设思路

XXX单位信息安全建设工作的整体思路以下列图所示：

信息安全系统建设规划和实行方案

安全技术系统安全管理系统营运保障系统

整体安全策略（建设目标、技术策略、管理策略）

现存问题信息安全技术和体制

建设现状发展趋向

安全威迫和安全柔弱性

信息化建设现状

网络和信息技术

信息化建设是鉴于目前通用的网络与信息系统基础技术，针对安全性问题和支撑安全技术，经过安全评估，对信息化建设和信息安全建设进行剖析和总结，此中包含对建设现状和发展趋向的完好剖析，归纳出系统中目前存在和此后可能存在的安全问题，明确网络和信息系统营运所面对的安全风险级别。

从支撑性安全技术睁开，对现有网络和信息技术的固出缺点出发，总结了普

遍存在的安全威迫，并依据其余系统中的信息安全建设实践中的经验，从信息安全领域的完好框架、思路、技术和理念出发，供给完好的安全建设思路和方法。

在此基础之上，对信息安全领域的理论、框架和技术基础与XXX单位的安全问题有机地进行联合，有针对性地提出XXX单位安全保障整体策略。

安全保障整体策略包含了整体建设目标，安全技术策略，以及相应的管理策略。

以安全保障整体策略为核心，分三个方面进行整体信息安全系统框架的拟订，包含安全技术系统，安全管理系统和营运保障系统。

在现实的营运过程中，

安全保障不可以够纯粹依靠安全技术来解决，更需要适合的安全管理，互相联合来提高整体安全性成效。

在信息安全系统框架的指导下，依照相应的建设标准和管理规范，规划和拟订详尽的信息安全系统实行方案和营运保护计划。

信息安全系统建设的思路表现了以下的特色：

兼顾规划和设计在建设过程中据有特别重要的地位；

充足联合建设现状与信息安全通用技术和理念；

充足考虑了目前的建设现状以及将来业务发展的需要；

着重安全管理系统的建设，以及管理、技术和保障的互相联合。

建设原则

信息系统安全坚持“安全第一、预防为主，管理和技术并重，综合防备”的

整体目标，实现信息系统安全可控、能控、在控。

依照“分区、分级、分域”总

体安全防备策略，履行信息系统安全等级保护制度。

信息安全系统的建设，波及面广、工作量大，一定坚持以下的原则，保证建

设和营运的成效。

一致规划

要对的信息安全系统建设进行一致的规划，拟订信息安全系统框架，明保证

障系统中所包含的内容。

同时，还要拟订一致的信息安全建设标准和管理规范，

使得信息安全系统建设能够依照一致的标准，管理能够依照一致的规范。

分步有序实行

信息安全系统的建设，内容错乱，一定坚持分步骤的有序实行原则，顺序渐

进地进行。

鉴于安全需求

依照信息系统担负的使命，累积的信息财产的重要性以及可能遇到的威迫及

面对的风险剖析安全需求，依照信息系统等级保护要求确立相应的信息系统安全

保护等级，遵照相应等级的规范要求，从全局上适合地均衡安全投入与成效。

技术管理并重

仅有全面的安全技术和体制是远远不够的，安全管理也拥有相同的重要性，

XXX单位信息安全系统的建设，一定依照安全技术和安全管理并重的原则。

拟订

一致的安全建设管理规范，指导的安全管理工作。

突出安全保障

信息安全系统建设要突出安全保障的重要性，经过数据备份、冗余设计、应急响应、安全审计、灾害恢复等安全保障体制，保障业务的连续性和数据的安全性。

连续改良

信息系统安全管理是一种动向反应过程，贯串整个安全管理的生计周期，跟着安全需乞降系统柔弱性的时空散布变化，威迫程度的提高，系统环境的变化以及对系统安全认识的深入等，应实时地将现有的安全策略、风险接受程度和保护举措进行复查、改正、调整以致提高安全管理等级，保护和连续改良信息安全管理系统的有效性。

依法管理

信息安全管理工作主要表现为管理行为，应保证信息系统安全管理主体合

法、管理行为合法、管理内容合法、管理程序合法。

对安全事件的办理，应由授

权者合时公布正确一致的有关信息，防止带来不良的社会影响。

自保护和国家看管联合

对信息系统安全推行自保护和国家保护相联合。

组织机构要对自己的信息系统安全保护负责，政府有关部门有责任对信息系统的安全进行指导、监察和检查，形成自管、自查、自评和国家看管相联合的管理模式，提高信息系统的安全保护能力和水平，保障国家书息安全。

建设目标

依据XXX单位信息安全系统建设需乞降原则，XXX单位信息安全的建设目标，

能够用“一个目标、两种手段、三个系统”进行归纳。

一个目标

XXX单位信息安全的建设目标是：

鉴于安全基础设备、以安全策略为指导，

供给全面的安全服务内容，覆盖从物理、网络、系统、直至数据和应用平台各个

层面，以及保护、检测、响应、恢复等各个环节，建立全面、完好、高效的信息

安全系统，进而提高XXX单位信息系统的整体安全等级，为XXX单位的业务发展

供给坚固的信息安全保障。

两种手段

信息安全系统的建设应当包含安全技术与安全管理两种手段，此中安全技术手段是安全保障的基础，安全管理手段是安全技术手段真实发挥效益的要点，管理举措的正的确施同时需要有技术手段来看管和考证，二者相辅相成，缺一不行。

三个系统

XXX单位信息安全系统的建设最后形成3个主要系统，详细包含安全技术体

系、安全管理系统、以及运行保障系统。

2系统框架

XXX单位进行信息安全建设的目标是成立起一个全面、有效的信息安全系统，

在这个系统中，包含了安全技术、安全管理、人员组织、教育培训、资本投入等

要点因素，信息安全建设的内容多，规模大，一定进行全面的兼顾规划，明确信

息安全建设的工作内容、技术标准、组织机构、管理规范、人员岗位装备、实行

步骤、资本投入，才能够保证信息安全建设有序可控地进行，才能够使得信息安

全系统发挥最优的保障成效。

安全模型

依据XXX单位信息安全系统建设目标和整体安全策略，成立了与之对应的目标模型，称为WP2DRR安全模型，该模型是鉴于时间的，由预警（Warning）、策略（Policy）、保护（Protection）、检测（Detection）、响应（Response）、恢

复（Recovery）六个因素环节构成了一个完好的、动向的信息安全系统。

预警、

保护、检测、响应、恢复等环节都由技术内容和管理内容所构成。

Policy（安全策略）：

依据风险剖析和评估产生的安全策略描绘了系统中

哪些资源要获得保护，以及怎样实现对它们的保护等。

在WP2DRR安全模

型中，策略处于核心地位，全部的防备、检测、响应、恢复都依照安全

策略睁开实行，安全策略为安全管理供给管理方向和支持手段。

Warining（预警）：

依据从前所掌握的系统的短处和目前认识的犯法趋向

展望将来可能遇到的攻击和及危害。

包含风险剖析、病毒预告、黑客入

侵趋向预告和状况通告、系统短处报告和补丁到位。

Protection（防备）：

经过修复系统破绽、正确设计开发和安装安全系统

来预防安全事件的发生；经过按期检查来发现可能存在的系统短处；通

过教育等手段，使用户和操作员正确使用系统，防备不测威迫；经过访

问控制、监控等手段来防备歹意威迫。

Detection（检测）：

检测是特别重要的一个环节，检测是动向响应和加

强防备的依照，它也是强迫落实安全策略的有力工具，经过检测和监控

网络和信息系统，发现新的威迫和短处，经过循环反应来实时做出有效

的响应。

Response（响应）：

响应是对安全事件做出反响，包含对检测到的系统异

常或许攻击行为做出响应动作，以及办理突发的安全事件。

适合的响应

动作和响应流程能够降低安全事件的不良影响，增强对重要资源的保护。

Recovery（恢复）：

灾害恢复能力直接决定了业务应用的连续可用性，任

何不测的突发事件都可能造成服务中止和数据受损，优异的灾害恢复计划能够针对灾害事件做到防患未然，即便系统和数据遭到破坏，也能够在最短的时间内，达成恢复操作。

WP2DRR安全模型的特色就是动向性和鉴于时间的特征。

它论述了这样一个结论：

安全的目标实质上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。

WP2DRR模型是在传统的P2DR模型的基础上新增添了预警Warning和恢复

Recover，增强了安全保障系统的事先预防和过后恢复能力，一旦系统安全事故

发生了，也能恢复系统功能和数据，恢复系统的正常运行。

安全目标模型是信息安全系统框架的基础，XXX单位的信息安全系统框架紧

密环绕这个安全模型的6个因素环节进行设计，每个因素环节的功能都在安全技

术系统、安全组织和管理系统以及运行保障系统中表现出来。

系统框架

经过对XXX单位的网络和应用现状、安全现状、面对的安全风险的剖析，根

据安全保障目标模型，拟订了XXX单位信息安全系统框架，拟订该框架的目的在

于从宏观上指导和管理信息安全系统的建设和营运。

该框架由一组互相关系、互相作用、互相填补、互相推进、互相依靠、不行

切割的信息安全保障因素构成。

在此框架中，以安全策略为指导，交融了安全技

术、安全管理和运行保障三个层次的安全系统，达到系统可用性、可控性、抗攻

击性、完好性、保密性的安全目标。

XXX单位信息安全系统框架的整体构造以下列图所示：

安全策略

在这个框架中，安全策略是指导。

安全策略与安全技术系统、安全组织和管

理系统以及运行保障系统这三大概系之间的关系也是互相作用的。

一方面，三大

系统是在安全策略的指导下建立的，主假如要将安全策略中拟订的各个因素转变

成为可行的技术实现方法和管理、运行保障手段，全面实现安全策略中所拟订的

目标；另一方面，安全策略自己也有包含草案设计、评审、实行、培训、部署、

监控、增强、从头评估、订正等步骤在内的生命周期，需要采纳一些技术方法和

管理手段进行管理，保证安全策略的实时性和有效性。

安全技术系统

安全技术系统是整个信息安全系统框架的基础，包含了安全基础设备平台、

安全应用系统平台和安全综合管理平台这三个部分，以一致的信息安全基础设备

平台为支撑，以一致的安全系统应用平台为协助，在一致的综合安全管理平台管理下的技术保障系统框架。

安全基础设备平台是以安全策略为指导，从物理和通讯安全防备，网络安全

防备，主机系统安全防备，应用安全防备等多个层次出发，立足于现有的成熟安

全技术和安全体制，成立起的一个各个部分互相共同的完好的安全技术防备体

系。

安全应用系统平台办理安全基础设备与应用信息系统之间的关系和集成问

题，应用信息系统经过使用安全基础设备平台所供给的各种安全服务，提高自己的安全等级，以更为安全的方式，供给业务服务和内部信息管理服务。

安全综合管理平台的管理范围尽可能地涵盖安全技术系统中波及的各样安

全体制与安全设备，对这些安全体制和安全设备进行一致的管理和控制，负责管理和保护安全策略，配置管理相应的安全体制，保证这些安全技术与设备能够依照设计的要求共同运作，靠谱运行。

它在传统的信息系统应用系统与各种安全技术、安全产品、安全防守举措等安全手段之间搭起桥梁，使得各种安全手段能与现有的信息系统应用系统密切的联合实现无缝连结，促成信息系统安全与信息系统应用的真实的一体化，使得传统的信息系统应用系统逐渐过渡向安全的信息系统应用系统。

一致的安全管理平台有助于各样安全管理技术手段的互相增补和有效发挥，也便于从系统整体的角度来进行安全的监控和管理，进而提高安全管理工作的效率，令人为的安全管理活动参加量大幅降落。

安全管理系统

安全组织和管理系统是安全技术系统真实有效发挥保护作用的重要保障，安

全管理系统的设计立足于整体安全策略，并与安全技术系统互相配合，增强技术

防备系统的效率和成效，同时也填补目前技术没法完好解决的安全缺点。

技术和管理是互相联合的，一方面，安全防备技术举措需要安全管理举措来增强，

另一方面技术也是对管理举措贯彻履行的监察手段。

在XXX单位信息安全系统框

架中，安全管理系统的设计充足参照和借鉴了国际信息安全管理标准《BS7799

（ISO17799）》的建议要求。

XXX单位信息安全管理系统由若干信息安全管理类构成，每项信息安全管理

类可分解为多个安全目标和安全控制。

每个安全目标都有若干安全控制与其相对应，这些安全控制是为了达成相应安全目标的管理工作和要求。

信息安全管理系统一共包含了12项管理类：

安全策略与制度，保证XXX单位拥有明确的信息安全目标以及配套的策略和制度，以实现对信息安全工作的支持和承诺，保证信息安全的资本投入。

安全风险管理，信息安全建设不是防止风险的过程，而是管理风险的过程。

没有绝对的安全，风险老是存在的。

信息安全系统建设的目标就是要把风险控制在能够接受的范围以内。

风险管理同时也是一个动向连续的过程。

人员和组织安全管理，成立组织机构，明确人员岗位职责，供给安全教育和培训，对第三方人员进行管理、协调信息安全看管部门与行内其余部门之间的关系，保证信息安全工作的人力资源要求，防止因为人员和组织上的错误产生的信息安全风险。

环境和设备安全管理，控制因为物理环境和硬件设备的不妥所产生的风险。

管理内容包含物理环境安全、设备安全、介质安全等。

网络和通讯安全管理，控制和保护网络和通讯系统，防备其遇到破坏和

滥用，防止和降低因为网络和通讯系统的问题对XXX单位业务系统的伤害。

主机和系统安全管理，控制和保护XXX单位的计算机主机及其系统，防备其遇到破坏和滥用，防止和降低由此对业务系统的伤害。

应用和业务安全管理，对各种应用和业务系统进行安全管理，防备其收到破坏和滥用。

数据安全和加密管理，采纳数据加密和完好性保护体制，防备数据被盗取和窜改，保护业务数据的安全。

项目工程安全管理，保护信息系统项目工程过程的安全，保证项目的成就是靠谱的安全系统。

运行和保护安全管理，保护信息系统在运行时期的安全，并保证系统维

护工作的安全。

业务连续性管理管理，经过设计和履行业务连续性计划，保证信息系统

在任何灾害和攻击下，都能够保证业务的连续性。

合规性（切合性）管理，保证XXX单位的信息安全保障工作切合国家法

律、法例的要求；且XXX单位的信息安全目标、规定和标准获得了依照。

12项信息安全管理类之间的关系，以下列图所示。

目标和策略管理

风险管理

数据/文档/介质管理

项目

应用与业务管理

工程

人

合

管理

员

规

和

性

主机与系统管理

组

管

织

理

网络与通讯管理

运行

管

保护

理

管理

环境与设备管理

业务连续性管理

12项信息安全管理类的作用关系为：

目标和策略：

是XXX单位整个信息安全管理工作的基础和整体指导，对

于其余全部的信息安全管理类都有指导和拘束关系。

人员和组织管理：

是要依照目标和策略来履行信息安全管理工作。

合规性：

指导怎样查验信息安全管理工作的成效。

特别是关于国家法律

法例、目标政策和标准切合程度的查验。

依据“目标和策略”，由“人员和组织”实行信息安全管理工作。

在实行

中主要从两个角度来考虑问题，即风险管理和业务连续性管理。

依据信息系统的生命周期，能够将信息系统区分为两个阶段，即项目工

程开发阶段和运行保护阶段。

这两个信息安全管理类表现了信息系统和

信息安全工作的生命周期特征。

最后全部的信息安全管理工作都作用在信息系统之上。

信息系统能够划

分红5个层次，从基层到上层挨次为环境与设备管理、网络与通讯管理、

主机与系统管理、应用与业务管理、数据/文档/介质管理。

这5个信息

安全管理类表现了信息系统和信息安全工作的层次性。

运行保障系统

运行与保障系统由安全技术和安全管理密切联合的内容所构成，包含了系统

靠谱性设计、系统数据的备份计划、安全事件的应急响应计划、安全审计、灾害

恢复计划等，运行和保障系统关于XXX单位网络和信息系统的可连续性营运供给

了重要的保障手段。

建设实行规划

建设实行规划是在安全管理系统、安全技术系统、运行保障系统设计的基础长进一步拟订的建设步骤和实行方案。

在建设实行规划中突出表现了分步有序实行的原则。

任何信息安全建设都需要人员负责管理和实行，所以，第一应当成立信息安

全工作看管组织机构，明确各级管理机构的人员装备，职能和责任。

此中信息安全管理机构负责信息安全策略的审查与公布、一致技术标准和管理规范的拟订、

指导和监察信息安全建设工作、对信息安全系统进行监控与审计管理。

而后，对全部职工进行基本安全教育，为信息安全系统有关技术人员供给特意的安全理论和安全技术培训，提高全员的安全意识，打造一支高素质的专业技术和管理队伍。

信息安全系统建设，应当第一从物理环境安全建设下手，保证机房建设依照的一致标准进行建设，而且依照一致的管理规范进行管理。

接下来应当进行网络安全建设，应当对计算机网络的安全域进行区分，对网

络构造进行调整，保证内部网络与外面网络、业务网络与办公网络界限清楚；在各安全域的界限处部署防火墙、网络入侵检测等安全产品，形成立体的地区界限保护体制，对各安全域进行逻辑安全隔绝，严禁未受权的网络接见；在内部网络中部署网络柔弱性剖析工具，按期对内部网络进行检查，并采纳举措实时填补新

发现的安全破绽。

在进行网络安全建设的同时，能够进行系统安全建设，在内部网络中全面部

署网络病毒查杀系统，有效克制计算机病毒在内部网络中流传，防止对系统和数

据造成伤害；此外，主机系统管理员还应当依照主机系统管理规范的要求，借助

主机柔弱性剖析和安全加固工具，按期对主机系统进行检查，更新安全破绽补丁

的级别，修正不妥的系统和服务配置，查察和剖析系统审计日记，控制和保证主

机系统的优异安全状态。

应用安全建设包含成立身份认证系统、应用受权和接见控制系统、数据安全传输系统等，对业务应用系统和内部信息管理系统供给各样安全服务。

依照的一致标准，成立安全审计与剖析系统、系统和数据备份计划、安全事

件应急响应计划、灾害恢复计划等安全保障体制，重在保护业务数据等信息财产，

保证内外应用服务的连续可用性。

3建设内容

XXX单位的信息安全建设所波及的工作内容包含以下部分。

组织机构

成立专职的信息安全看管机构，明确各级管理机构的人员岗位配置和职能权

限，全面负责信息安全建设工作和保护信息安全系统的营运。